Autor: Melanie Kortemeyer

Die EU-Mitgliedstatten sind nun doch noch zu einer Einigung gekommen, was die EU-Lieferkettenrichtlinie betrifft.

Insbesondere nachdem Deutschland die Zustimmung zunächst verweigert hatte, wurde das Thema nun überarbeitet. Inhaltlich wurde das Gesetz nun durch Grenzanhebungen deutlich abgeschwächt. Ziel war es, durch die Abschwächung die Länder zur Zustimmung zu bewegen, die sich bisher enthalten haben.

In der ursprünglichen Gesetzesfassung sollte die EU-Lieferkettenrichtlinie bereits für Unternehmen ab 500 Beschäftigten und einem Jahresumsatz ab 150 Millionen Euro gelten. Dies hätte zur Folge gehabt, dass von der Richtlinie weitaus mehr Unternehmen betroffen wären, als vom national geltenden Lieferkettengesetz.

Im Rahmen der Überarbeitung des Gesetzes wurden nun neue Grenzen festgelegt, die im Vergleich zur Ursprungsfassung deutlich höher liegen.

Die EU-Lieferkettenrichtlinie soll nun für Unternehmen ab 1000 Beschäftigten sowie einem Jahresumsatz ab 450 Millionen Euro gelten.

Auch an den Übergangsfristen wurde gearbeitet:

Unternehmen die ab 1000 Beschäftigte haben und einen Umsatz von 450 Millionen Euro generieren, haben fünf Jahre Zeit, die entsprechenden Maßnahmen umzusetzen.

Unternehmen mit einer Beschäftigtenzahl ab 4000 Mitarbeitern und einem generierten Umsatz von 900 Millionen Euro, haben vier Jahre Übergangszeit.

Hat ein Unternehmen 5000 Mitarbeiter oder mehr und generiert 1,5 Milliarden Umsatz (oder mehr), gilt eine Übergangsfrist von drei Jahren.

Experten schätzen, dass durch diese Anhebungen ca. 70% weniger Unternehmen betroffen sind, als noch von der alten Fassung.

Die Anhebung der Grenzen ist jedoch nicht die einzige Verschärfung. Auch die zuvor festgelegten Risikosektoren wurden gänzlich herausgestrichen. Darunter wurden solche Wirtschaftsbereiche verstanden, die aufgrund ihres Tätigkeitsfeldes ein besonders hohes Risiko für Menschenrechtsverletzungen innehaben. Auch dieser Faktor findet sich in der neuen Gesetzesversion nicht mehr wieder.

 

 

Die EU hat die Rechte von Verbraucherinnen und Verbrauchern erweitert und dabei ganz besonders den digitalen Markt ins Auge gefasst.

Denn die Produkthaftungsrichtlinien gelten künftig auch für Software Produkte.

Das Europaparlament und die EU-Staaten einigten sich darauf, dass die Regelungen mehr auf den digitalen Markt zugeschnitten werden. Waren zuletzt unter dem Begriff „Produkt“ nur analoge Waren gefasst, sind nun auch digitale Fertigungsdateien und Software mit darunter definiert.

Dies bedeutet, dass es in Zukunft auch einen Anspruch auf Schadensersatz geben wird, wenn durch ein solches digitales Produkt Daten von einer Festplatte gelöscht werden.

Dabei ist es wichtig zu beachten, dass diese Haftungsregeln nicht nur für materielle Schäden sondern auch für immaterielle Schäden gelten werden.

Auch soll es vereinfacht werden, eine verantwortliche Person zu finden. Es soll nämlich geregelt werden, dass ein Hersteller, Importeuer oder dessen Bevollmächtigter innerhalb der EU verantwortlich gemacht werden können auch wenn das Produkt außerhalb der EU gekauft wurde.

Auch die Beweislast wird für Verbraucherinnen und Verbraucher erleichtert werden. Für sie sollen die Anforderungen an den Nachweis, dass das Produkt den Schaden verursacht hat, heruntergeschraubt werden. Insbesondere dann, wenn der Nachweis aufgrund der technischen Komplexität für sie kaum zu erbringen ist.

Seit dem 01.01.2024 gilt das Lieferkettensorgfaltspflichtgesetz nun auch für kleine Unternehmen. Unternehmen, die ab 1.000 Beschäftigte haben, werden hier in die Verantwortung genommen.

In der EU hat man sich nun auf das CSDDD geeinigt – das Corporate Sustainability Due Diligence Directive. Dies ist insofern relevant, als dass es viel weiter geht, als die aktuelle nationale Regelung in Deutschland.

Im Inland war bisher allein die Anzahl der Beschäftigten Anknüpfungspunkt für das Lieferkettensorgfaltspflichtgesetz. Für die EU Vorschrift spielen nun aber noch weitere Faktoren mit hinein. Im Ergebnis bedeutet dies, dass sehr viel mehr Unternehmen betroffen sein werden als aktuell und die Grenze von 1.000 Beschäftigten allein nicht mehr greift.

Das CSDDD möchte auch Unternehmen ab 500 Mintarbeitern und einem Jahresumsatz von über 150 Millionen Euro Umsatz mit in die Verantwortung nehmen, aber auch solche mit 250 Beschäftigten und einem Umsatz von 40 Millionen Euro, wenn mindesten 20 Millionen Euro davon in Risikosektoren verdient worden sind.

Unter den Risikosektoren sind die folgenden Bereiche zu verstehen: Produktion und Großhandel von Textilien, Kleidung und Schuhen, Landwirtschaft, Fischerei, Lebensmittelherstellung sowie die Gewinnung und der Großhandel mit mineralischen Rohstoffen. Dies sind die größten Gebiete, die Aufzählung ist jedoch nicht abschließend.

Beachtenswert ist dabei, dass es auch keine Rolle spielt ob der Sitz des Unternehmens in der EU liegt. Allein die Generierung des maßgeblichen Umsatzes im EWR ist ausreichend.

Wie auch schon in der nationalen Vorschrift müssen die Unternehmen nach dem EU-Lieferkettengesetz ihre Lieferketten überwachen.

Hintergrund ist, dass sie verpflichtet werden sollen, Nachhaltigkeitsrisiken zu identifizieren und Maßnahmen zur Prävention zu ergreifen um etwaigen Schädigungen abzuhelfen.

Sollten sich die betroffenen Unternehmen nicht an diese Vorgaben halten, drohen ihnen Bußgelder. Auch hierbei geht die EU Vorgabe über die nationale Regelung hinaus. Wurden national als Bußgeld 2% des Jahresumsatzes vorgesehen kann nach der EU Vorgabe bis zu 5% des Jahresumsatzes als Bußgeld verhängt werden.

Ebenfalls zu beachten: Unternehmen, die gegen das Gesetz verstoßen, werden dafür öffentlich benannt! Ein Verstoß sollte auch deshalb bereits aus eigenem Interesse vermieden werden.

Neben dem bei einem Verstoß zu beachtenden Bußgeld und der Veröffentlichung des Unternehmens, drohen zudem auch zivilrechtliche Klagen, da nun auch dieser Weg eröffnet wurde. Wenn bei einem Verstoß entlang der Lieferkette Ihres Unternehmens Personen zu Schaden kommen sollten, kann nun gegen das Unternehmen am Ende dieser Lieferkette auf Schadensersatz geklagt werden.

Seit Juli diesen Jahres ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Es handelt sich dabei um die landeseigene Umsetzung der europäischen Whistleblower-Richtlinie, welche bereits im Dezember 2021 verabschiedet wurde.

Der Gesetzgeber hat damit nun für Unternehmen verbindliche Vorgaben geschaffen mit dem Ziel, hinweisgebende Personen, welche im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben, vor jeglichen Repressalien wegen der Meldung an interne oder externe Meldestellen zu schützen.

Seit dem 02. Juli 2023 gilt das Gesetz bereits verbindlich für Unternehmen ab 250 Mitarbeitenden. Ab dem 17. Dezember 2023 fallen auch Unternehmen mit 50 Beschäftigten darunter und sind nun dazu verpflichtet, den Schutz zu gewährleisten und sichere Meldekanäle einzuführen. Damit läuft die Übergangsfrist zu diesem Stichtag ab.

Stellen Sie demnach sicher, ob Sie der Umsetzungspflicht bereits nachgekommen sind, oder ob dies bis zum Stichtag noch nachgeholt werden muss. Aufgrund unserer Erfahrung beim Einrichten, Betreiben und der Abwicklung eines Hinweisgebersystems, können Sie sich bei Fragen gerne an uns wenden.

In den Anwendungsbereich des Gesetzes fallen das EU-Recht und das nationale Recht, soweit es sich dabei um Straftaten und Vergehen sowie (bußgeldbewehrte) Ordnungswidrigkeiten handelt.

Meldende Personen können Arbeitnehmer, Beamte, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeitende von Lieferanten sowie Personen sein, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat und sich in einem vorvertraglichen Stadium befindet.

Arbeitgeber sind dabei – trotz Wahlrecht der hinweisgebenden Person – angehalten, eine interne Meldestelle einzurichten. Das Gesetz sieht vor, dass Meldestellen innerhalb der Organisation vorrangig genutzt werden sollen. Dabei müssen die Kanäle auch in einem Umfang kommuniziert werden, der eine Kenntnisnahme der hinweisgebenden Personengruppen ermöglicht.

Ein kürzlich gefälltes Urteil des Landgerichts München hat erneut den Fall der Datenweitergabe an die Schufa behandelt.

Ein großer internationaler Mobilfunkanbieter wurde verurteilt, weil dieser Kundendaten ohne deren Zustimmung an die Schufa weitergegeben hat. Diese Entscheidung könnte nun zu weiteren Entscheidungen der gleichen Art führen, eine mögliche Klagewelle ist nicht ausgeschlossen.

Denn es haben sich bereits zwei Kanzleien starkgemacht, für die Verbraucher:innen Schadensersatzklagen erheben zu wollen. Mehr als 100.000 Betroffene sollen sich bereits gemeldet haben, wie es heißt.

Bisherige Entscheidungen aus anderen vergleichbaren Fällen haben Schadensersatz in Höhe bis zu 5.000 € zugesprochen.

Entgegen der gerichtlichen Entscheidung und der Rechtsprechung hält der Mobilfunk Branchenverband die Datenübermittlung an die Schufa für zulässig. Begründet wird dies mit einer möglichen Betrugsprävention. Verbraucherverbände kritisieren die Weitergabe schon länger. Die Daten würden zulasten der Kunden gewertet und das Vorgehen sei intransparent. Diese Ansicht teilt insbesondere die Verbraucherzentrale Bundesverband.

Das die Schufa datenschutzrechtlich mit Vorsicht zu genießen ist, ist nicht unbekannt. Seit 2021 ist gegen diese beim EuGH ein Verfahren anhängig. In diesem Verfahren geht es um die Frage, ob der festgestellte Schufa Score über das Zustandekommen eines Vertrages entscheiden darf oder nicht.

Die weitere Entwicklung bleibt also nun abzuwarten.

Auf das WooCommerce Plugin, welches aktuell auf ungefähr 600.000 WordPress-Seiten eingesetzt wird, gibt es eine Angriffswelle von großem Ausmaß.

Wie es scheint, haben diese Angriffe ab vergangenen Freitag begonnen – es wird von aktuell über einer Million Attacken ausgegangen.

Diese richten sich gezielt auf einzelne Websites und keine wahllose Attacke an alle Nutzer.

Ermöglicht wurden diese Attacken durch eine Sicherheitslücke, die mittlerweile aber wieder geschlossen ist. Um Sicherheit zu gewähren, müsste das Plugin aber auch aktualisiert sein. Das betroffene WooCommerce Payment Plugin sollte auf Version 5.6.2 aktualisiert werden.

Nutzer dieses Plugins sollten also schnell aus Vorsicht überprüfen, ob dieses auch auf die aktuelle Version geupdatet wurde.

Am 10. Juli 2023 hat die Europäische Kommission ihren Angemessenheitsbeschluss entsprechend Art. 45 DSGVO für den Datenschutzrahmen EU-USA – the Trans Atlantic Data Privacy Framework (TADPF) – angenommen. Damit soll die USA ein angemessenes Schutzniveau für personenbezogene Daten, die aus der EU an US amerikanische Unternehmen übermittelt werden, durch verbindliche Garantien gewährleistet werden.

Die Figur des Angemessenheitsbeschlusses ist dafür da, das festgestellt wird, dass ein Land außerhalb der EU – und damit außerhalb des Anwendungsbereiches der DSGVO – ein dem europäischen Datenschutz entsprechendes Niveau zusichert. Liegt ein solcher vor, müssen Unternehmen keine weiteren Schutzmaßnahmen nach der DSGVO, wie beispielsweise Auftragsverarbeitungsverträge mit Standardvertragsklauseln, mehr abschließen oder vorweisen.

So die Theorie.

Denn ein solches Abkommen gab es in der Vergangenheit bereits zweimal: den Privacy Shield und das Safe Harbor Abkommen.

Beide Abkommen wurden nach kurzer Zeit durch den EuGH gekippt. Dieser stellte fest, dass das Datenschutzniveau in den USA gerade nicht ausreichend ist und den EU Standards nicht entspricht. Die dortigen Behörden seien mit viel zu weitreichenden Befugnissen ausgestattet, die den Zugriff auf die personenbezogenen Daten von europäischen Bürgern ermöglichen.

Der TADPF soll genau diese Zugriffe ausbremsen. Er gibt vor, dass Zugriffe nur dann erfolgen dürfen, wenn dies „verhältnismäßig“ ist. Um dies zu überprüfen soll ein Gericht zur Datenschutzüberprüfung geschaffen werden, der Data Protection Review Court (DPRC). Zu diesem sollen Einzelpersonen aus der EU entsprechenden Zugang bekommen und ihnen ein unabhängiges und unparteiisches Rechtsbehelfsverfahren möglich sein.

US Unternehmen können sich dem TADPF nun anschließen, indem sie sich zur Einhaltung detaillierter Datenschutzpflichten verpflichten, beispielsweise Daten zu löschen wenn sie für den Zweck für den sie erhoben wurden nicht mehr erforderlich sind – was der Datenminimierung nach Art. 5 DSGVO gleichkommen könnte. Auch sollen EU-Bürger noch mehr Rechtsbehelfe offen stehen. Dazu gehören wohl unabhängige Streitbeilegungsstellen und eine Schiedsstelle.

Genau das Stichwort der Verhältnismäßigkeit ist es jedoch, was den bekannten Datenschützern bereits missfällt. Sie haben bereits angekündigt, erneut Klage einreichen zu wollen. Konkret handelt es sich dabei um Maximilian Schrems.

Der Privacy Shield und Safe Harbor sind beide auch durch seine Klagen gekippt worden und brachte die Urteile Schrems I und II hervor.

Ob der EuGH nun davon ausgeht, dass das Schutzniveau gut genug ist oder ob Schrems III quasi bevorsteht ist noch offen.

Einer gerichtlichen Überprüfung wird der TADPF sich aber auf jeden Fall stellen müssen.

Um ein Bußgeldrisiko der zuständigen Aufsichtsbehörde zu vermeiden, ist die richtige Einstellung der Cookies von nicht zu unterschätzender Wichtigkeit! Dies unterstreichen auch zwei aktuelle Entscheidungen der französischen Datenschutzbehörde CNIL gegenüber TikTok und Microsoft.

Gegen beide Unternehmen wurden Bußgelder in Höhe von 5 Millionen Euro bzw. sogar 60 Millionen Euro verhängt  – in beiden Fällen wegen zu umständlichen Cookie Einstellungen.

Sowohl TikTok als auch Microsoft, da war explizit die Suchmaschine bing.com betroffen, wurde deshalb dieses nicht unerhebliche Bußgeld auferlegt.

Die Fälle waren auch so gut wie identisch gelagert:

Das Bußgeld wurde verhängt, weil die Nutzer Cookies nicht so einfach ablehnen konnten, wie sie sie akzeptieren. Durch die Struktur, nach welcher der Ablehnungsmechanismus aufgebaut ist, wurden laut Ansicht der Behörde die Nutzer davon abgehalten, Cookies abzulehnen. Dadurch würde die Einwilligungsfreiheit der Nutzer verletzt werden. Darüber hinaus prangert die Behörde an, dass zudem nicht hinreichend über die Zwecke und Ziele der Cookies informiert wurde.

Dieser Mechanismus war es auch, der bei Microsoft zu einem Bußgeld in Höhe von 60 Millionen Euro geführt hat. Hier war es so gelagert, dass ein Benutzer der französischen Seite mit seinem Besuch bereits dadurch ohne Einwilligung Cookies auch zu Werbezwecken abgelegt bekam.

Zwar handelt es sich hier um eine Entscheidung der französischen Behörde, die sich an dieser Stelle auch auf eine nationale Datenschutzvorschrift stützt, Artikel 82 des la loi Informartique et Libertés. Diese Vorschrift hat jedoch erhebliche Ähnlichkeit zu unseren geltenden Vorschriften. Damit sind auch ähnliche oder gleich gelagerte Entscheidungen der deutschen Behörden nicht auszuschließen und könnten zudem auch ebenfalls nicht gerade glimpflich ausfallen.

Demnach sollten auf der eigenen Website die Cookies immer optimal eingestellt sein. Dies gelingt am einfachsten über das Consent Tool. Beachten Sie, dass nur bei technisch zwingen notwendigen Cookies eine Voreinstellung getroffen sein darf. Bei sämtlichen anderen Cookies darf keine solche Voreinstellung vorgenommen sein, der Besucher muss selbst festlegen, worein er einwilligt, sog. Opt In. Wie die Entscheidungen zeigen, ist es ebenso wichtig, dass der Besucher auch darüber jederzeit wieder die Möglichkeit bekommt, seine Einstellungen so einfach zu ändern, wie er sie erteilt hat.

Wichtige Information für alle Nutzer der 3 CX Desktop App: am 29.03.2023 gab es erste Hinweise dazu, dass eine aktuelle Version des Voice Over IP Clients 3CX kompromittiert wurde. Die Softwareversion ist zwar durch den Hersteller signiert, enthält jedoch schadhafte Elemente die in ihrer Funktionsweise der eines Trojaners entsprechen. Der Grund dafür ist wohl eine schadhafte DLL Datei.

Bisher konnte beobachtet werden, dass die Anwendung nach erfolgreicher Installation eine Verbindung zu einem C&C Server aufbaut und somit schadhafte weitere Software nachlädt.

Bei den betroffenen Versionen handelt es sich um die folgenden:
Windows: 18.12.407 und 18.12.416
Mac: 18.11.1213, 18.12.407, 18.12.416.

Mögliche Gefahren sind hier beispielsweise das Mithören von Gesprächen oder die Ausweitung des Angriffs auf zusätzliche Netzwerkkomponenten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bewertet den Vorfall mit der zweithöchsten Bedrohungslage. https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214778-1032.html

Bitte prüfen Sie, wenn Sie den Anbieter in Anspruch nehmen, die folgenden Punkte:

• Welche Softwareversion ist derzeit im Einsatz?
• Bei Möglichkeit Entfernung des Installers bis zum neuen Release.
• Ist es möglich, ein erneutes Laden des Installers an der Firewall zu blockieren?
• Ist der Zugriff auf Domains, die mit den Angriffen in Verbindung stehen, unterbunden?
• Haben Sie die 3CX Desktop App entfernt?
• Haben Sie bereits Maßnahmen ergriffen um eine bereits erfolgte Kompromittierung des Netzwerks auszuschließen? Wenn nicht, sollten Sie dies nachholen.

Wenn Zweifel bestehen empfehlen wir Ihnen aktuell von einer Nutzung abzusehen und den Client zu löschen, bis das Problem seitens 3CX behoben werden konnte.

Es gibt Neuigkeiten hinsichtlich der Entwicklung zum Hinweisgeberschutzgesetz. Nachdem das Gesetzesvorhaben Anfang des Jahres nicht die nötige Zustimmung im Bundesrat erhalten hatte und somit die benötigte Mehrheit nicht zustande kam, geht es nun weiter. Die Zustimmung des Bundesrates war nötig, da es sich bei dem Entwurf um ein sogenanntes Zustimmungsgesetz handelte. Die Ablehnung erfolgte, da es sich aus Sicht mancher Länder um Regelungen handele, die über die europäischen Anforderungen hinaus gingen.

Der ursprüngliche Gesetzesentwurf wurde nun in zwei einzelne Entwürfe aufgeteilt:

Der neue Entwurf des Gesetzes für den besseren Schutz hinweisgebender Personen, der die EU Richtlinie 2019/1937 umsetzen soll, nimmt im Wesentlichen das am 16.12.2022 beschlossene Gesetz wieder auf. Als einzige Änderung wird auf die zustimmungsbedürftige Änderung des Beamtenstatusgesetzes verzichtet. Diese wäre erforderlich um auch Beamt:innen Meldungen nach diesem Gesetz zu ermöglichen.

Durch diese Änderung handelt es sich bei dem Entwurf nun nach der Einschätzung der Fraktionen nicht mehr um ein solches Zustimmungsgesetz, da es keine verfassungsrechtlichen Bezüge mehr aufweist.

Der zweite Entwurf ist der Entwurf eines Gesetzes zur Ergänzung der Regelungen zum Hinweisgeberschutzgesetz. Dieser Entwurf passt die beamtenrechtlichen Verschwiegenheitspflichten im Beamtenstatusgesetz an die Erfordernisse des neuen Hinweisgeberschutzgesetzes an. Mit diesem Entwurf wird insbesondere Landesbeamt:innen eine Meldung oder Offenlegung nach dem Hinweisgeberschutzgesetz ermöglicht. Diese Änderungen bedürfen aufgrund des verfassungsrechtlichen Bezuges weiterhin der Zustimmung des Bundesrats.

Sollten am Ende beide Entwürfe das Gesetzgebungsverfahren erfolgreich durchlaufen, dann würde es wohl im Ergebnis zu keinen wesentlichen Änderungen gegenüber des ursprünglichen Entwurfes kommen.

Beide Vorhaben wurden aktuell vorab dem Rechtsausschuss zur weiteren Beratung übergeben.

Die Umsetzung der Richtlinie in nationales Recht hätte eigentlich bereits bis zum Dezember 2021 erfolgen müssen. Dieses Ziel hat die Regierung jedoch verpasst. Als Folge dessen hat die EU-Kommission deshalb mittlerweile ein Vertragsverletzungsverfahren gegen Deutschland auf den Weg gebracht.